该图显示了用户如何验证和获取访问令牌。 SP在idP中注册（使用clientID / secret）。 SP通过向浏览器发送重定向请求用户（浏览器）进行身份验证。

SP稍后获得身份验证码时，会在后台单独发出请求，以获取真实的访问/ ID令牌。

一些进行此交换的简化代码如下：

/// <summary>
/// This method is called with the authorization code and state parameter
/// </summary>
/// <param name="code">authorization code generated by the authorization server. This code is relatively short-lived,typically lasting between 1 to 10 minutes depending on the OAuth service.</param>
/// <param name="state"></param>
/// <returns></returns>
[HttpPost]
public IActionResult Callback(string code,string state)
{

    //To be secure then the state parameter should be compared to the state sent in the previous step

    var url = new Url(_openIdSettings.token_endpoint);

    var token = url.PostUrlEncodedAsync(new
    {
        client_id = "authcodeflowclient",//Id of this client
        client_secret = "mysecret",grant_type = "authorization_code",code_verifier = code_verifier,code = code,redirect_uri = "https://localhost:5001/CodeFlow/callback"

    }).ReceiveJson<Token>().Result;

    return View(token);
}

使用收到的令牌，由客户端决定将其存储在哪里。在ASP.NET中，使用ID令牌创建用户会话cookie，然后丢弃ID令牌。访问令牌也可以存储在此cookie中，或者您可以将其存储在内存中或其他地方。但这一切都取决于您的需求。

一旦SP获得了访问令牌，他就可以将该令牌传递给API。但是，在API可以验证令牌签名之前，它首先会向IdP询问其公共签名密钥（GET请求），然后API使用它来验证令牌签名。

有关令牌签名和密钥的详细信息，请参见此page。